CommuniLink 聯通國際網絡

甫剛結束的台北國際電腦展 COMPUTEX 2017 規劃有五大主題，而聚焦於「物聯網科技應用」的 SmarTEX展區更帶來眾多嶄新應用，其中有許多皆圍繞著智慧家庭與智慧城市主題。

聯合國曾預估 2050 年全球將會有逾六成以上的人們居住於都市區，現階段全球各地皆已積極投注於「智慧城市」的開發上，而早前趨勢科技發布的「Securing Smart Cities – Moving Toward Utopia with Security in Mind」的報告便提到了智慧科技的發展將伴隨著不可避免的資安危機，而這亦是未來政府及企業所需面對的重要課題。

趨勢科技前瞻資安威脅研究團隊（Forward-looking Threat Research, FTR）提供智慧城市網路資安十大要點，協助地方政府以及城市開發商檢視智慧城市的安全性：

1. 執行品質檢驗與滲透測試：為順利排除資料洩漏和系統失控等資安問題，智慧城市科技應採行嚴格的檢驗與測試標準，而地方政府機關除了雇用獨立運行滲透檢測的廠商，也應加強執行智慧科技的品質保證（Quality Assurance）與品質測試（Quality Testing）流程。

2. 提前研擬資安準則：無論是地方政府機關還是開發商都應與協力供應商建立「服務層級協議」（Service Level Agreements, SLAs），確立其應達成的資安標竿為何，例如保障居民的隱私資訊、建立 24 小時解決回報問題的應變團隊。

3. 建立專屬的應變團隊：當面臨涉及智慧應用的資安問題時，最好設置市府下轄的電腦緊急應變小組（Computer Emergency Response Team, CERT）或網路資安事件應變小組（Computer Security Incident Response Team, CSIRT）。

4. 確保軟體的定期更新：一旦智慧設備的軟體提供了新的版本，就應立即予以更新，且注意最好是以符合資安條件的方式進行，例如使用加密技術或是數位簽章認證方法。

5. 妥善計畫智慧基礎建設的使用年限：地方政府應該預先規劃如何處理過時的設備，也需提前因應廠商服務到期的狀況，尤其技術支援的終止可能導致嚴重的安全漏洞問題，且也應考慮智慧基礎建設是否會有年久失修、過度使用的風險。

6. 時時謹記隱私資料處理規範：於智慧城市中搜集得來的任何資料，都應使用去識別化與匿名處理，以保護城市居民的隱私權，而與智慧城市計畫不相關的資訊都應予以刪除，最後針對敏感資訊應限制存取權限。

7. 加密與限制公共的溝通管道：任何涉及敏感資料的溝通，無論是線上還是線下的管道都應予以加密，所有的智慧溝通系統都應至少使用一組帳戶密碼，或實行如一次性密碼、生物辨識等更強的認證機制，並且也應限制溝通管道以降低中控系統受駭的風險。

8. 準備手動操作備案：便利的智慧自動化系統也可能會有運行失靈的情況，因此應該提前準備好手動操作模式，以防遭遇網路斷線或駭客執行遠端操控的危機。

9. 設計容錯的系統：智慧城市應該要設計一種當某些元件發生故障或設計錯誤時，仍能維持正確運作的容錯系統，如此可避免一個小缺失造成整個系統當機、無法運行的狀況。

10. 確保基礎服務永續運作：即使不幸遭遇整個系統當機的情況，也應確保所有居民能夠即時與支援緊急狀況的技術團隊取得連繫，且確保居民皆能取得如電力與水這些重要資源，舉例來說一個完善的智慧城市必須隨時備有替代能源，以因應主要電力系統發生故障的情況。

隨著時間演變，未來城市將變得越來越聰明，人們經由科技來定義、存取、改善智慧城市服務和基礎架構的機會也越來越高；然而智慧化的趨勢也就越容易引來駭客的攻擊，因此資訊安全在保護智慧城市資源與公共建設的機密性、可用性與完整性，都扮演了巨大的角色，所以不論是從頭建造或是經由都市更新計畫建造的智慧城市，都必須兼顧功能和安全性，而市府機關與開發商謹記，智慧城市建造目的是為了服務人，故應以保障人的安全為最高準則。

以上資訊由www.hkitblog.com提供

現時資安方案很多時都會使用上更先進的功能以提供更精準的防禦能力，而趨勢科技早前亦公佈了自家的機器學習能力技術 XGen，近日更正式宣佈已成功將有關技術導入趨勢科技 Worry-Free 服務中以提升對中小企用戶的保護。

XGen 防護融合了高準度的機器學習與其他威脅防護技巧，提供防護能力來防範各種已知及未知威脅，同時保護用戶的網上活動和裝置。該技術能不斷學習、適應並自動分享威脅情報予用戶的主要平台和應用程式。

而剛才提到的 Worry-Free 中小企保安方案可快速偵測無害的資料和已知威脅，讓更高階的智能技術如應用程式控管、漏洞防堵、行為分析、沙盒模擬分析、機器學習等等能夠更快、更準確地偵測未知威脅。配合上將機器學習融入防護中，它亦具備執行前檔案分析與執行中程序分析能力，再搭配普查和白名單這類「雜訊消除」技巧來降低誤判，加上趨勢科技 Smart Protection Network 的全球雲端威脅情報為後盾，能在偵測到新威脅時提供快速更新，讓企業更快具備防護能力。

趨勢科技 Worry-Free 中小企保安方案是一項用戶端防護方案，這方案能為最新的網絡資訊保安威脅提供即時防護，同時提供了惡意程式防護、垃圾郵件防護、勒索程式防護以及資料防護。除此之外，還能集中控管，從單一主控台來管理 個人電腦、Mac、伺服器及流動裝置。

以上資訊由www.hkitblog.com提供

網絡安全威脅超跨張！2017 年資安事件 5 大預言

就快又來到了 2016 年年尾了，每年這個時候各家廠商便會開始對來年的一些趨勢進行預測，而今年我們第一份收到的預測是由 Check Point 提供的，當中她們總結了 2016 年資安事件並對來年作出預測，我們且看看她們的預測是否準確。

2016 年是各行各業、各種大小型企業屢遭資料外洩之苦的一年，即使相關機構適時發出了預警，而事實一再證明，在複雜的網路攻擊面前，沒有人可以免受攻擊。

根據身份竊盜資源中心(Identity Theft Resource Center)統計，截至今年 10 月 19 日為止，已發生 783 起記錄在案的資料外洩事件，累計多達 2900 多萬筆資料（請注意，這數字並不包括那些僅公布發生資料外洩事件，但卻不願公布細節的公司的外洩狀況。）這告訴我們什麼呢？資料外洩正變得越來越普遍，全無減緩趨勢。此外，研究還發現這些外洩事件多數是針對高價值的資料：社會安全碼、加密醫療資訊、信用卡和簽帳卡號碼、網路釣魚、外包商/協力廠商導致的外洩，甚至還有電子郵件、密碼和其他的使用者登錄資訊。

展望 2017 年，Check Point 預計將會出現以下的安全威脅和趨勢：

流動裝置

針對流動裝置的攻擊持續增長，研究人員發現來自於流動裝置的企業資料外洩事件，將成為最重要的企業安全問題。最近有國家支援的駭客，針對記者手機上的資料進行攻擊，意味著這些攻擊方法已經在全球蔓延，未來大家也會看到組織型犯罪者採用這種方法。

工業用物聯網(IoT)

在明年，網路攻擊的範圍將擴展至工業用物聯網。資訊技術（IT）和作業技術（OT）的融合，使環境變得更加脆弱，特別是作業技術或資訊採集與監控系統(SCADA)等環境。這些環境通常採用舊型系統，通常缺乏可用的修補程式，或更糟，根本不進行修補。製造業需要將系統和實體安全控制擴展至單一虛擬平台，並在 IT 和 OT 環境中落實威脅防護解決方案。

關鍵基礎架構

關鍵基礎架構極易受到網路攻擊。幾乎所有的關鍵基礎架構設施，如核電廠和電訊塔，都是在網路攻擊威脅出現之前便設計和建造的。在 2016 年初，便有新聞報導指出，發生了有史以來第一次因網路攻擊蓄意造成的停電事故。關鍵基礎架構的安全規劃人員需要為一切可能性做好規劃，其網路和系統將會發現與許多攻擊方法與眾多不同攻擊發動者（包括來自民族國家、恐怖主義，語組織型犯罪）採行的方法一致的現象。

威脅防禦

對於企業來說，勒索軟體將變得和分散式阻斷服務(DDoS)攻擊一樣普遍，如何預防這些攻擊，將成為企業營運成本的一環。由於勒索軟體的存在，企業需要部署多方面的預防策略，包括進階沙箱和威脅萃取，以有效保護其網路安全。企業也需要考慮其他的方法來應對發起勒索軟體活動的攻擊者，例如與同業協調進行取締和執法行動，以及建立預備資金以加速付款（如果這是唯一的可以降低損害的選擇）。我們也將看到「合法的」攻擊者發動更有針對性的攻擊，來影響或讓一個組織噤聲。剛剛結束的美國總統競選活動，便顯示了這種可能性，並且將成為未來大選的先例。

雲端運算

隨著企業持續在雲端儲存更多資料，等於為駭客打開通往其他企業資訊系統的大門。攻擊、中斷或關閉主要的雲端服務供應商，將衝擊該供應商所有客戶的業務。這種具備干擾性的作法，將被作為影響特定競爭對手或組織的手段，更由於鎖定的競爭者將僅是眾多受影響者之一，使得攻擊動機更難被發現。此外，勒索軟體攻擊也將影響更多雲端運算資料中心。隨著越來越多的企業組織採用包括公有雲和私有雲在內的雲端運算架構，這些類型的攻擊自然會開始尋找新的方法來攻擊這些新的基礎架構類型，藉由加密檔從此雲傳播到彼雲，把雲端運算架構當成是擴大攻擊效果、範圍的工具。

最近發表的 Check Point 安全報告，在某種層面上，對 2017 年資訊安全提出了一個複雜的預警。就行動、雲端運算和物聯網而言，其企業採用的引爆點早就已經發生，如今也都成為業務運作重要的一部分，而網路犯罪者亦已因應這些轉變，調整了攻擊技術。更令人感到擔憂的是，從惡意軟體和勒索軟體採用的手法，研究人員已經發現駭客這種與時俱進的轉變，便是每分鐘都會有新的變種出現。採用特徵比對技術的防毒軟體便足以對抗惡意軟體的時代已經過去。企業組織可以依據上述預測來制定自家的資訊安全計畫，以在新型態的網路威脅面前能領先一步，並在攻擊可能造成損害之前，便加以阻止。

以上資訊由www.hkitblog.com提供

駭客帶動全球 IT 經濟！2016 全球資安開支將達 816 億美元

駭客攻擊雖然會令受害者經濟上出現損失，然而卻為資安廠商帶來了更多收入，難怪曾經有業界人士說過一個陰謀論：「很多駭客攻擊及病毒，其實都是由資安廠商製造出來的，目的就是增加資安設備的盈收」。

儘管以上說法未有實質證據，不過 2016 年全球資安開支仍高達 816 億美元！近日一份由 Gartner 公佈的報告便指出，2016 年全球資訊保安產品及服務開支將達 816 億美元，較去年上升 7.9%。

顧問及資訊科技外判服務是現時資訊保安的兩大支出項目。Gartner 預料直至 2020 年底，保安檢測、資訊科技外判服務及數據洩露防護（data loss prevention，DLP）增長將最高。

在亞太區，2016 年資訊保安產品及服務開支將達 179 億美元，較去年上升 8.9%，並在 2020 增至 256 億美元。大中華區的 2016 年資訊保安產品及服務開支將較去年上升 11.1% 至超過 33 億美元，並在 2020 達 56 億美元。

防禦性保安的增長將維持強勁，因不少資訊保安人員均傾向購入防禦性保安措施。與此同時，安全信息與事件管理（security information and event management，SIEM）與安全網頁閘道（secure web gateway，SWG）等解決方案，亦開始發展至支援「偵測及回應」模式（detect and response）。Gartner 預料至 2020 年，機構將集中於偵測及回應方案，令全球安全網頁閘道市場維持 5 至 10% 增長。

現時機構持續面對的僱員及人才短缺問題，將令更多資訊保安開支投向服務性項目。機構無力部署、管理和使用有效的技術和工具組合偵測威脅，並回復至原先的良好狀態，因此產生需求，令偵測及處理託管服務（managed detection and response, MDR）冒起。

面對針對性進階威脅及內部威脅，機構更束手無策。隨著越來越多新興 MDR 供應商瞄準中端市場，Gartner 預計這些服務將推動大小機構的資訊保安開支增長。

Gartner 全球資訊保安預測報告的其他預測如下：

直至 2018 年底，防火牆的平均售價將按年上升至少 2 至 3%

隨著市場對於頻寬的需求及裝置數目增加，雲端及其他服務供應商所提供的高端設備需求亦相應增加，推動市場發展。儘管供應商之間的競爭繼續為價格帶來壓力，但企業、服務供應商及網絡規模機構（web-scale organizations）正趨向使用規模更大及更昂貴的防火牆。因此，雲端服務供應商所採用的大型防火牆將繼續成為廠商的主要收入來源。

至 2018 年，將有 90% 機構使用最少一種綜合數據洩露防護（DLP）軟件，較現時 50% 為多

部分機構使用 DLP 軟件，以遵守條例、保護知識產權，以及確保數據透明並監測數據。機構亦使用新的解決方案改善現有的方案，新增範疇包括用戶身份及行為分析、影像分析、機器學習（machine learning）以及數據配對技術（data-matching techniques）。

至 2019 年底，公共雲端的採用將僅影響防火牆開支少於 10%，但影響將於 2019 年之後加大

儘管軟件即服務（Software as a Service，SaaS）的採用正在增加，但於未來三年，它對防火牆開支的影響不大。Gartner 於 2015 年進行的調查顯示，只有 16% 受訪的首席資訊總監視 SaaS 為支出首選。轉變需要時間，而在轉變過程中，雲端存取安全代理服務（cloud access security broker，CASB）會逐步轉型，覆蓋比軟件即服務更廣的範圍，為基建即服務（Infrastructure as a Service， IaaS）及平台即服務（Platform as a Service， PaaS）擔當相似的角色。防火牆供應商亦須於未來數年面對多項挑戰，其中重點為解決保安接層加密技術（secure sockets layer，SSL）被大規模破解的問題。

至 2019 年，一半中型及大型機構會為其網絡防火牆增添更廣泛、更先進的檢閱功能

隨著頻寬不斷加速，企業對於規模更大、表現更佳以及更昂貴防火牆的需求亦相應增加，並要求防火牆能夠整合其他功能，例如網頁過濾器及入侵防禦系統。部分企業亦為其防火牆升級，加入惡意軟件沙箱作業（malware sandboxing）等新的內容檢閱功能。

以上資訊由www.hkitblog.com提供